【问题标题】:authentication in own mobile app在自己的移动应用程序中进行身份验证
【发布时间】:2012-10-24 19:49:14
【问题描述】:

即将开放一个具有 OAuth 访问权限的公共 api,没问题。主站点使用 api,但使用基本身份验证(仅限于我们的内部 ip 范围)

下一步是规划一个移动应用程序,但应该如何处理那里的身份验证?

最初的想法是为我们的 appid 创建一个特殊的登录屏幕,使其看起来像身份验证(而不是授权),但对我们的 appid 进行逆向工程并不难。

(例如)facebook 如何在 facebook iphone 应用程序中处理登录? 外观说他们正在使用身份验证,但如果是这样,他们如何阻止其他人使用它?

建议表示赞赏。

【问题讨论】:

    标签: oauth basic-authentication mobile-application


    【解决方案1】:

    我认为您会在本文档和特定段落中找到答案: https://datatracker.ietf.org/doc/html/draft-ietf-oauth-v2-threatmodel-07#section-5.2.3.4

    【讨论】:

    • 我已经阅读了它并且有很多建议,但我更感兴趣的是找到一些已经实现的参考项目。你做到了吗,你是怎么做到的……
    • 据我了解,适合我们使用的流程是资源所有者流程 (techblog.hybris.com/2012/06/11/…)。我不认为我们可以禁止其他应用程序使用此流程,因为应用程序 id 和密码将不安全。也许我们可以教育用户永远不要将密码提供给第三方应用程序,而只是提供给官方应用程序或官方登录字段。
    猜你喜欢
    • 1970-01-01
    • 2015-11-22
    • 2015-06-03
    • 1970-01-01
    • 2017-01-10
    • 2019-08-31
    • 2017-02-07
    • 2011-06-01
    相关资源
    最近更新 更多